U post descrive i passi per automatizà a gestione di i certificati SSL da aduprendu и AWS.
hè un strumentu chì ci permetterà di implementà sta funzione. Pò travaglià cù certificati SSL da Let's Encrypt, salvate in Amazon Certificate Manager, utilizate l'API Route53 per implementà a sfida DNS-01, è, infine, push notifications à SNS. IN acme-dns-route53 Ci hè ancu una funziunalità integrata per l'usu in AWS Lambda, è questu hè ciò chì avemu bisognu.
Stu articulu hè divisu in 4 sezzioni:
- crià un schedariu zip;
- crià un rolu IAM;
- criendu una funzione lambda chì corre acme-dns-route53;
- crià un cronometru CloudWatch chì attiva una funzione 2 volte à ghjornu;
nota: Prima di principià, avete bisognu di stallà и
Crià un schedariu zip
acme-dns-route53 hè scrittu in GoLang è supporta a versione micca più bassa di 1.9.
Avemu bisognu di creà un schedariu zip cù un binariu acme-dns-route53 dentru. Per fà questu, avete bisognu di stallà acme-dns-route53 da u repositoriu GitHub usendu u cumandimu go install:
$ env GOOS=linux GOARCH=amd64 go install github.com/begmaroman/acme-dns-route53U binariu hè stallatu in $GOPATH/bin annuariu. Per piacè nutate chì durante a stallazione avemu specificatu dui ambienti cambiati: GOOS=linux и GOARCH=amd64. Facenu chjaru à u compilatore Go chì deve creà un binariu adattatu per Linux OS è l'architettura amd64 - questu hè ciò chì corre in AWS.
AWS aspetta chì u nostru prugramma sia implementatu in un schedariu zip, allora creemu acme-dns-route53.zip archiviu chì cuntene u binariu novu installatu:
$ zip -j ~/acme-dns-route53.zip $GOPATH/bin/acme-dns-route53nota: U binariu deve esse in a radica di l'archiviu zip. Per questu avemu aduprà -j bandiera.
Avà u nostru nickname zip hè prontu per a implementazione, tuttu ciò chì resta hè di creà un rolu cù i diritti necessarii.
Creazione di un rolu IAM
Avemu bisognu di stabilisce un rolu IAM cù i diritti richiesti da a nostra lambda durante a so esecuzione.
Chjamemu sta pulitica lambda-acme-dns-route53-executor è dà subitu un rolu di basa AWSLambdaBasicExecutionRole. Questu permetterà à a nostra lambda di eseguisce è scrive logs à u serviziu AWS CloudWatch.
Prima, creamu un schedariu JSON chì descrive i nostri diritti. Questu permetterà essenzialmente à i servizii lambda di utilizà u rolu lambda-acme-dns-route53-executor:
$ touch ~/lambda-acme-dns-route53-executor-policy.jsonU cuntenutu di u nostru schedariu sò i seguenti:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:<AWS_REGION>:<AWS_ACCOUNT_ID>:log-group:/aws/lambda/acme-dns-route53:*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"cloudwatch:PutMetricData",
"acm:ImportCertificate",
"acm:ListCertificates"
],
"Resource": "*"
},
{
"Sid": "",
"Effect": "Allow",
"Action": [
"sns:Publish",
"route53:GetChange",
"route53:ChangeResourceRecordSets",
"acm:ImportCertificate",
"acm:DescribeCertificate"
],
"Resource": [
"arn:aws:sns:${var.region}:<AWS_ACCOUNT_ID>:<TOPIC_NAME>",
"arn:aws:route53:::hostedzone/*",
"arn:aws:route53:::change/*",
"arn:aws:acm:<AWS_REGION>:<AWS_ACCOUNT_ID>:certificate/*"
]
}
]
}Avà andemu à eseguisce u cumandamentu aws iam create-role per creà un rolu:
$ aws iam create-role --role-name lambda-acme-dns-route53-executor
--assume-role-policy-document ~/lambda-acme-dns-route53-executor-policy.jsonnota: ricordate di a pulitica ARN (Nome di Risorsa Amazon) - avemu bisognu in i prossimi passi.
Role lambda-acme-dns-route53-executor creatu, avà avemu bisognu di specificà i permessi per questu. U modu più faciule per fà questu hè di utilizà u cumandamentu aws iam attach-role-policy, passendu pulitica ARN AWSLambdaBasicExecutionRole a siguenti:
$ aws iam attach-role-policy --role-name lambda-acme-dns-route53-executor
--policy-arn arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRolenota: una lista cù altre pulitiche pò esse truvata .
Crià una funzione lambda chì corre acme-dns-route53
Eura! Avà pudete implementà a nostra funzione à AWS usendu u cumandamentu aws lambda create-function. A lambda deve esse cunfigurata cù e seguenti variabili d'ambiente:
AWS_LAMBDA- rende chjaru acme-dns-route53 tale esecuzione avviene in AWS Lambda.DOMAINS- una lista di domini separati da virgule.LETSENCRYPT_EMAIL- cuntene .NOTIFICATION_TOPIC- nome di u tema di notificazione SNS (opcional).STAGING- à u valore1L'ambiente di staging hè utilizatu.1024MB - limite di memoria, pò esse cambiatu.900secs (15 min) - timeout.acme-dns-route53- u nome di u nostru binariu, chì hè in l'archiviu.fileb://~/acme-dns-route53.zip- u percorsu à l'archiviu chì avemu creatu.
Avà implementemu:
$ aws lambda create-function
--function-name acme-dns-route53
--runtime go1.x
--role arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor
--environment Variables="{AWS_LAMBDA=1,DOMAINS="example1.com,example2.com",[email protected],STAGING=0,NOTIFICATION_TOPIC=acme-dns-route53-obtained}"
--memory-size 1024
--timeout 900
--handler acme-dns-route53
--zip-file fileb://~/acme-dns-route53.zip
{
"FunctionName": "acme-dns-route53",
"LastModified": "2019-05-03T19:07:09.325+0000",
"RevisionId": "e3fadec9-2180-4bff-bb9a-999b1b71a558",
"MemorySize": 1024,
"Environment": {
"Variables": {
"DOMAINS": "example1.com,example2.com",
"STAGING": "1",
"LETSENCRYPT_EMAIL": "[email protected]",
"NOTIFICATION_TOPIC": "acme-dns-route53-obtained",
"AWS_LAMBDA": "1"
}
},
"Version": "$LATEST",
"Role": "arn:aws:iam::<AWS_ACCOUNT_ID>:role/lambda-acme-dns-route53-executor",
"Timeout": 900,
"Runtime": "go1.x",
"TracingConfig": {
"Mode": "PassThrough"
},
"CodeSha256": "+2KgE5mh5LGaOsni36pdmPP9O35wgZ6TbddspyaIXXw=",
"Description": "",
"CodeSize": 8456317,
"FunctionArn": "arn:aws:lambda:us-east-1:<AWS_ACCOUNT_ID>:function:acme-dns-route53",
"Handler": "acme-dns-route53"
}Creazione di un timer CloudWatch chì attiva una funzione 2 volte à ghjornu
L'ultimu passu hè di stallà cron, chì chjama a nostra funzione duie volte à ghjornu:
- crea una regula CloudWatch cù u valore
schedule_expression. - crea un target di regula (ciò chì deve esse eseguitu) specificendu l'ARN di a funzione lambda.
- dà permessu à a regula per chjamà a funzione lambda.
Sottu aghju attaccatu a mo cunfigurazione Terraform, ma in fattu questu hè fattu assai simplice cù a cunsola AWS o AWS CLI.
# Cloudwatch event rule that runs acme-dns-route53 lambda every 12 hours
resource "aws_cloudwatch_event_rule" "acme_dns_route53_sheduler" {
name = "acme-dns-route53-issuer-scheduler"
schedule_expression = "cron(0 */12 * * ? *)"
}
# Specify the lambda function to run
resource "aws_cloudwatch_event_target" "acme_dns_route53_sheduler_target" {
rule = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.name}"
arn = "${aws_lambda_function.acme_dns_route53.arn}"
}
# Give CloudWatch permission to invoke the function
resource "aws_lambda_permission" "permission" {
action = "lambda:InvokeFunction"
function_name = "${aws_lambda_function.acme_dns_route53.function_name}"
principal = "events.amazonaws.com"
source_arn = "${aws_cloudwatch_event_rule.acme_dns_route53_sheduler.arn}"
}Avà site cunfiguratu per creà è aghjurnà automaticamente i certificati SSL
Source: www.habr.com